esenfrdeitptru

Divulgación de información confidencial en VMware vCenter- CVE-2022-22948

AS-028-2022

Fecha: 30/Mar/2022

Resumen:


El investigador de seguridad sénior de Pentera Labs, Yuval Lazar, descubrió una vulnerabilidad de divulgación de información que afecta a más de 500 000 dispositivos que ejecutan implementaciones predeterminadas de vCenter Server.

Pentera reveló el martes los detalles del agujero de seguridad, advirtiendo que si bien CVE-2022-22948 puede no parecer muy peligroso, se le ha asignado una calificación de "gravedad moderada", puede encadenarse con otras vulnerabilidades para una toma de control completa del servidor.

Por ejemplo, un atacante puede obtener acceso inicial a un punto final que hospeda un cliente de vCenter Server explotando CVE-2021-21972, un error que ha sido utilizado por actores malintencionados desde al menos la primavera de 2021. Una vez que han obtenido el acceso inicial, los atacantes pueden explotar la vulnerabilidad recientemente revelada para extraer información confidencial.

Específicamente, un hacker puede explotar CVE-2022-22948 para obtener las credenciales de una cuenta de alto privilegio que se puede usar para tomar el control completo del servidor.

La cadena de exploits descrita por la firma de ciberseguridad también involucra CVE-2021-22015, una falla de escalada de privilegios que se necesita para descifrar la contraseña de la cuenta de alto privilegio antes mencionada. CVE-2021-22015 es un problema de alta gravedad que se informó a VMware el año pasado.
"En el vector de ataque completo, los actores de amenazas pueden hacerse cargo completamente de los ESXi de una organización que ha implementado  una infraestructura híbrida y máquinas virtuales alojadas y administradas por el hipervisor desde solo el acceso de punto final a un host con un cliente vCenter", explicó Pentera.


Referencias:

https://www.pentera.io/blog/information-disclosure-in-vmware-vcenter/
https://www.securityweek.com/vmware-vcenter-server-vulnerability-can-facilitate-attacks-many-organizations

Tlp Clear 2023